人道主義作者Andreas Harsono總結(jié)說，當坦克開進烏克蘭時，惡意軟件也開始對烏克蘭進行了攻擊。

周一，該公司報告說，其威脅情報中心(MSTIC)在俄羅斯的坦克和導彈開始襲擊烏克蘭的前幾個小時，就已經(jīng)檢測到了針對該國數(shù)字基礎(chǔ)設(shè)施發(fā)起的網(wǎng)絡(luò)攻擊。

微軟安全研究人員表示，在2月24日發(fā)射導彈的前幾個小時，微軟的威脅情報中心(MSTIC)就已經(jīng)檢測到了針對烏克蘭數(shù)字基礎(chǔ)設(shè)施的新一輪進攻性和破壞性的網(wǎng)絡(luò)攻擊。

我們立即向烏克蘭政府通報了這一情況，我們確認攻擊者使用了一個新的惡意軟件包，我們稱之為FoxBlade，并就防止惡意軟件的攻擊提供了技術(shù)性的建議。

史密斯說，在發(fā)現(xiàn)FoxBlade的三小時內(nèi)，為檢測該病毒，微軟已經(jīng)為其Defender反惡意軟件服務(wù)添加了新的簽名。

FoxBlade攻擊的具體細節(jié)

微軟目前已經(jīng)發(fā)布了一份關(guān)于FoxBlade的安全情報公告，報告稱這是一個新的特洛伊木馬。

雖然該公司既沒有分享技術(shù)細節(jié)，也沒有分享FoxBlade是如何攻破目標機器的防御系統(tǒng)進行攻擊的，但該公告解釋說，這個木馬可以在你不知情的情況下利用你的電腦進行分布式拒絕服務(wù)(DDoS)攻擊。

卡巴斯基研究人員在2021年11月報告說，這種攻擊在第三季度中每天達到了數(shù)千次，而且預(yù)計該數(shù)字將會繼續(xù)增長。

除了發(fā)起DDoS攻擊，F(xiàn)oxBlade還會下載和安裝其他程序(包括惡意軟件)來安裝到受感染的系統(tǒng)。

精確的攻擊

史密斯說，這些網(wǎng)絡(luò)攻擊截至周一仍然還在進行。與NotPetya不分青紅皂白就進行攻擊的惡意軟件不同，此次攻擊的策略是進行精準攻擊。NotPetya網(wǎng)絡(luò)攻擊在2017年針對全球數(shù)百家公司和醫(yī)院，甚至是對烏克蘭電網(wǎng)都進行了攻擊。

2020年，美國司法部(DOJ)曾經(jīng)指控了六名俄羅斯國民涉嫌參與烏克蘭以及其他網(wǎng)絡(luò)攻擊。

微軟目前特別關(guān)注針對烏克蘭民用數(shù)字目標的網(wǎng)絡(luò)攻擊，盡管當前對烏克蘭的網(wǎng)絡(luò)攻擊具有很強的針對性，但是這些攻擊的范圍更廣了，攻擊目標包括了金融部門、農(nóng)業(yè)部門、應(yīng)急服務(wù)、人道主義援助工作以及能源部門組織和企業(yè)。

史密斯說，根據(jù)《日內(nèi)瓦公約》，這些針對民用目標的攻擊引起了專家們的密切關(guān)注，我們目前已經(jīng)與烏克蘭政府分享了所有的攻擊信息。

微軟還向烏克蘭政府提供了最近一系列的關(guān)于防止竊取個人身份信息(PII)的網(wǎng)絡(luò)釣魚攻擊的建議，這些PII中還包括了與健康、保險、交通和其他政府數(shù)據(jù)有關(guān)的PII。

微軟還向烏克蘭政府傳遞了威脅情報以及防御策略，使其能夠更好地防御針對軍事機構(gòu)和制造商以及其他幾個烏克蘭政府機構(gòu)的攻擊。

持續(xù)進行的網(wǎng)絡(luò)戰(zhàn)爭

微軟發(fā)布的FoxBlade的消息只是針對烏克蘭和俄羅斯的持續(xù)網(wǎng)絡(luò)攻擊中的一個，Conti勒索軟件團伙還宣稱它其實是親俄的。上周，這些犯罪分子在他們的博客上發(fā)出了警告，威脅要盡最大的可能來報復那些”試圖針對俄羅斯或世界上任何講俄語地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施”進行攻擊的戰(zhàn)爭販子。

一名親烏克蘭的Conti勒索軟件團伙成員隨后泄露出了該勒索軟件團伙最近13個月的聊天記錄，并承諾還將有更多信息要曝光。

同樣，ESET和博通公司的賽門鐵克上周表示，他們發(fā)現(xiàn)了一種被稱為HermeticWiper的新的數(shù)據(jù)擦除惡意軟件，該軟件已經(jīng)被用于攻擊烏克蘭的數(shù)百臺機器。其中一個惡意軟件的樣本早在12月28日就被編制出來了，這表明攻擊在兩個月前就已經(jīng)準備好了。

然后，在1月13日，一個名為WhisperGate的破壞性惡意軟件開始針對烏克蘭組織進行攻擊。分析家們說，這種攻擊可能是俄羅斯破壞烏克蘭主權(quán)的攻擊中的一部分。

此外，在2月中旬，烏克蘭軍事和經(jīng)濟的重要機構(gòu)，包括政府以及銀行網(wǎng)站，都遭到了一波DDoS攻擊。

CISA的建議

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周警告說，這種攻擊可能會蔓延到烏克蘭的邊境。

CISA說，破壞性的惡意軟件可以對一個組織的日常運作構(gòu)成直接的威脅，影響到其中關(guān)鍵資產(chǎn)的安全性以及數(shù)據(jù)的可用性。針對烏克蘭組織的更進一步的破壞性網(wǎng)絡(luò)攻擊可能會發(fā)生，并可能會蔓延到其他國家的組織。

與烏克蘭/俄羅斯危機有關(guān)的其他威脅攻擊還包括大量的網(wǎng)絡(luò)犯罪威脅者，他們利用當天的頭條新聞，對用戶進行釣魚攻擊。Malwarebytes還發(fā)現(xiàn)了大量主題為"微軟賬戶異常登錄活動 "的惡意郵件。

為防止這種廣泛的網(wǎng)絡(luò)威脅，CISA提供了這份網(wǎng)絡(luò)安全自查清單。

• 修補漏洞。
• 使用MFA。
• 使用防病毒軟件。
• 啟用強大的垃圾郵件過濾器，防止終端用戶收到網(wǎng)絡(luò)釣魚郵件。
• 禁用非必要的端口和協(xié)議。
• 加強對云服務(wù)的控制以及使用。

本文翻譯自：https://threatpost.com/microsoft-ukraine-foxblade-trojan-hours-before-russian-invasion/178702/如若轉(zhuǎn)載，請注明原文地址。